Дослідники з компанії Soluble новий спосіб реєстрації доменів з , Зовнішньо схожими на інші домени, але фактично відрізняються через наявність символів з іншим значенням. Подібні інтернаціоналізовані домени () можуть на перший погляд не відрізнятись від доменів відомих компаній та сервісів, що дозволяє використовувати їх для фішингу, в тому числі отримуючи для них коректні TLS-сертифікати.
Класична підміна через зовні подібний IDN-домен давно блокується в браузерах та реєстраторах завдяки забороні змішування символів з різних алфавітів. Наприклад, підставний домен аpple.com ("xn--pple-43d.com") не вдасться створити шляхом заміни латинської "a" (U+0061) на кириличну "а" (U+0430), оскільки змішування в домені букв із різних алфавітів не допускається. У 2017 році був спосіб обходу такого захисту через використання в домені тільки unicode-символів, без використання латиниці (наприклад, за допомогою символів мови зі схожими на латиницю символами).
Тепер знайдено ще один метод обходу захисту, заснований на тому, що реєстратори блокують змішування латиниці та Unicode, але якщо вказані в домені Unicode-символи відносяться до групи латинських символів, таке змішування допускається, оскільки символи належать до одного алфавіту. Проблема в тому, що у розширенні присутні омогліфи, схожі за написанням інших символів латинського алфавіту:
символ «нагадує «a», «» - «g», «»-«l».
Можливість реєстрації доменів, в яких латиниця поєднується із зазначеними Unicode символами, була виявлена у реєстратора Verisign (інші реєстратори не перевірялися), а піддомени вдалося створити в сервісах Amazon, Google, Wasabi та DigitalOcean. Проблема була знайдена в листопаді минулого року і, незважаючи на надіслані повідомлення, через три місяці в останній момент була усунена тільки в Amazon та Verisign.
В ході експерименту дослідники витративши 400 доларів зареєстрували у Verisign наступні домени:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- Washinɡtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- gooɡleapis.com
- huffinɡtonpost.com
- instaɡram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑdroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Дослідники також запустили для перевірки своїх доменів на наявність можливих альтернативних варіантів із омогліфами, у тому числі з перевіркою вже зареєстрованих доменів та TLS-сертифікатів із подібними іменами. Що стосується HTTPS-сертифікатів, то через логи Certificate Transparency було перевірено 300 доменів з омогліфами, з яких 15 було зафіксовано генерацію сертифікатів.
Актуальні браузери Chrome і Firefox відображають подібні домени в адресному рядку в нотації з префіксом "xn--", проте в посиланнях домени виглядають без перетворення, що можна використовувати для вставки на сторінки шкідливих ресурсів або посилань, під виглядом їх завантаження з легітимних сайтів . Наприклад, на одному з виявлених доменів з омогліфами було зафіксовано поширення шкідливого варіанта бібліотеки jQuery.
Джерело: opennet.ru